Estoy un poco confundido en el rol de la cuenta del administrador del grupo local. Me las arreglé para obtener un administrador de dominio en un reciente Pentest, pero al recordar mis resultados, estoy un poco confundido con el razonamiento real que hay detrás.
Escenario : usé una vulnerabilidad en un servidor para obtener el shell del SISTEMA. Descarté los secretos de LSA para encontrar una cuenta de usuario de dominio con un grupo de grupos de dominios y administradores locales, operadores de copia de seguridad, etc.
Ahora, utilicé esta cuenta para escritorio remoto en uno de los controladores de dominio y pude iniciar sesión y crear un administrador de dominio.
- ¿Esto fue posible debido al administrador del grupo local? o tal vez grupos de dominio?
- Si se debiera a grupos locales, ¿cómo sugeriría una recomendación al cliente? Tal vez para usar una contraseña diferente para los controladores de dominio? ¿Algún otro servidor?